アーンスト・アンド・ヤング(EY)は、同社のIT担当者が使用するサードパーティ製サポートチケットシステムが侵害されたことを受け、顧客に対しデータ漏洩を通知しています。
同社によると、このプラットフォームを通じて提出されたサポートチケットには、顧客の税務情報を含む文書が含まれていた可能性があるとのことです。
アーンスト・アンド・ヤング(EY)は世界最大手の監査・専門サービス提供企業4社の一角で、150カ国以上の主要組織に対し監査、税務、コンサルティング、取引アドバイザリーサービスを提供しています。
同社は406,000人の従業員を抱え、昨年は532億ドルの世界売上高を計上しました。
被害を受けた顧客への漏洩通知によると、アーンスト・アンド・ヤングは4月23日に自社ネットワーク上の異常な活動を検知し、調査を開始したとのことです。
外部のサイバーセキュリティ専門家の支援を受け、同社は3月28日から4月12日の間に第三者が不正に同プラットフォームへアクセスし、複数の文書をダウンロードしていたことを突き止めました。
影響を受けた情報には、税務申告書に含まれる、または作成に使用された特定の個人情報および財務情報が含まれていました。通知書のサンプルには具体的なデータ種別の箇所がプレースホルダーとなっているため、実際に流出した情報の種類は明らかになっていません。
また、同社は影響を受けた顧客の正確な人数、あるいは今回の事案が米国内の顧客のみに影響するのか、他国にも及ぶのかについては明らかにしていません。
アーンスト・アンド・ヤングはシステムを保護し、連邦法執行当局に通報したとしており、不正アクセスはすでに排除されたと保証しています。
同社はまた、盗まれたファイルの悪用やさらなる流出は確認されておらず、特定の個人が脅威アクターに狙われた形跡もないとしています。
この漏洩によるリスクを軽減するため、EYは被害を受けた顧客に対し、Experianを通じて24カ月間のID監視・復旧サービスを提供しており、通知書の受領者には2026年10月31日までの登録を呼びかけています。
本稿執筆時点で、アーンスト・アンド・ヤングへの攻撃について犯行声明を出したデータ恐喝グループやランサムウェアグループはありません。
BleepingComputerは今回の事案について詳細を確認するためEYに問い合わせていますが、本稿公開時点では回答を得られていません。
攻撃者に先んじて、あらゆる防御層をテストする
セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが発せられるのはそのうち14%に過ぎません。残りは環境内を検知されないまま通り抜けています。
Picusのホワイトペーパーでは、侵入・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威の見逃しを防ぐ方法を解説しています。